为什么挖矿木马能在黑产圈扮演“骨干”角色？

虽然以比特币为代表的虚拟加密货币在过去几年经历了“过山车”的行情，但自2013年挖矿木马被发现以来，各大网络安全公司披露的挖矿木马攻击数量一直存在。爆发式增长趋势。事实上，挖矿木马主要是借助一种特殊的恶意应用程序，包括游戏插件、盗版软件，以及一些激活码生成器等植入物，偷偷安装在用户的电脑上。一般植入挖矿木马的机器会出现CPU占用率显着增加、电脑发热、运行速度变慢、重启无法解决等症状。目前，各种挖矿木马如雨后春笋般涌现，并且植入方式各异泰国挖矿合法吗，给攻击者带来了可观的收益。

近日，腾讯安全御剑威胁情报中心发布了2018年度挖矿木马安全报告《2018年度回顾：为什么挖矿木马会成为病毒木马的脊梁》，全景展示了2018年的黑产世界在过去的一年中挖掘木马。数据显示，过去一年，每月产生的挖矿木马样本数量已达数百万，远超游戏盗号木马等传统病毒。在不法利益的直接驱动下，挖矿木马不断变换手段，从目标选择、技术对抗、渠道选择等方面衍生出九大攻击特征，成为病毒木马黑化生产的“中坚力量”。

谁的电脑被挖了？

电脑运行挖矿病毒时，电脑的CPU和GPU资源占用会增加，电脑会变慢。挖矿木马的运行特性使其在作案时并非麻木不仁，这也意味着攻击者需要尽可能保证每次攻击的收益——选择攻击目标无疑是第一步，也是最重要的一步。

辅助插件是2018年最喜欢的挖矿木马隐藏软件之一。两款热门的在线策略射击游戏都被挖矿木马“光顾”，甚至还有一款520Miner挖矿木马杀掉游戏插件. 2018年1月，腾讯电脑管家曝光了tlMiner的挖矿行为及传播来源，随后在3月与腾讯守护者计划安全团队合作，协助山东警方快速打击木马作者，并于4月初到摧毁链顶端的黑客。制作公司。

医院也未能逃脱挖矿木马的魔掌。 2018年7月，多家三级医院服务器被非法黑客入侵，攻击者暴力破解医院服务器远程登录服务，然后利用某品牌云笔记的文件共享功能下载各种挖掘木马，最终获利超过40万元。 .

针对企业的攻击趋势在老挖矿木马PhotoMiner上更为明显。这种病毒于 2016 年首次发现，去年 4 月再次活跃。通过入侵和控制企业服务器，在云端搭建僵尸网络挖矿泰国挖矿合法吗，共计挖出8万枚门罗币，收益达到惊人的8900万元，名副其实。 “黄金矿工”。

挖矿木马的“求生欲”

为了减少被用户发现的概率，挖矿木马的常见套路是故意将挖矿时占用的CPU资源控制在一定范围内，并设置为检测到任务管理器时自行退出。

此外，挖矿木马还利用独特的技术来规避杀毒软件的拦截。 2018年5月出现的“美女蝎子”挖矿木马会隐藏在美女图片中，利用图片加密传输矿池相关信息，通过DNS隧道返回的信息获取隐藏的C2信息，规避反软件检测。该木马控制2万多台肉鸡电脑，分配不同的肉鸡集群来挖掘不少于4种数字加密货币。

为了进一步升级技术手段，挖矿木马还瞄准了NSA的武器库。自 NSA 武器库工具泄露以来，一直受到非法黑客的青睐。该工具包可以很容易地被修改和利用，以达到类似蠕虫传播的目的。 2018年，腾讯安全御剑威胁情报中心发现大量挖矿木马团伙利用NSA武器库工具传播挖矿木马，使得挖矿木马具备传播蠕虫的能力。在腾讯安全对NSAFtpMiner等利用NSA武器库的挖矿木马攻击的监测中，影响范围为数万。

如何实现大规模感染？

无论是对攻击目标的精心挑选，还是技术手段的不断升级，挖矿木马的核心目的都是为了感染更多的用户电脑，获取更高的收益。因此，挖矿木马也在选择攻击渠道时煞费苦心。

电脑和手机同步发展，体现了挖矿木马作者的贪婪。 2018年11月，腾讯安全御剑威胁情报中心发现双平台挖矿木马，具有Windows和Android双平台版本，同时在中毒电脑和手机上运行门罗币挖矿程序。

即使是电脑端的传播，挖矿木马也想出了新的方法来扩大传播范围——最有效的传播方式被广泛采用，最有效的传播方式是通过网页挂马过去。这是特洛伊木马。

以“412黑马风暴”为例，4月12日，腾讯电脑管家团队发现，网页黑马病毒通过广告联盟平台迅速传播至国内50多家主流客户，威胁数万网民的信息安全。管家团队迅速将整个犯罪链的分析报告提交给国家相关部门，并于当晚紧急发布“412黑马风暴”检测修复工具，防止“412黑马风暴”进一步蔓延。

还有一个高级版的网页恶作剧，就是通过大规模入侵有安全漏洞的网站，在网页中植入挖矿代码。只要访问者的电脑访问这个网页，就会变成矿工。

去年1月，腾讯安全御剑威胁情报中心发现某广告分发平台被恶意嵌入挖掘JavaScript脚本。江苏、湖南地区爆发挖矿攻击，挖矿页面日访问量近百万次。其中，用户在网站上观看视频或阅读时停留时间较长，非法黑客可以利用这些网站进行挖矿，获取持续收益。

从2018年的挖矿木马事件中发现，可供选择的币越来越多，设计也越来越复杂，隐藏的也越来越深。 《报告》认为，2019年挖矿木马将继续活跃，与杀毒软件的对抗将愈演愈烈。对此，《报告》建议：不要下载来历不明的软件，谨慎使用破解工具和游戏辅助工具；企业用户及时修复服务器组件漏洞；监控设备CPU和GPU使用情况，部署更完善的安全防御体系。另外，个人电脑使用杀毒软件还是比较明智​​的。